WO2020142884A1 - 切换传输路径的方法及装置 - Google Patents

Abstract

本申请提供了一种切换传输路径的方法及装置，涉及通信技术领域。该方法包括：终端从接入网节点接收用于指示切换终端的安全传输路径的第二消息，根据第二消息将终端的至少一个会话的安全上下文从源安全上下文切换至目标安全上下文，并根据至少一个会话的目标安全上下文在目标安全传输路径上传输属于至少一个会话的数据。该方法可以实现终端的安全传输路径的切换，从而在不同的场景中，选择是否切换终端的安全传输路径，使得数据的安全保护灵活的适应不断变化的网络场景。

Description

切换传输路径的方法及装置 技术领域

本申请涉及通信技术领域，尤其涉及一种切换传输路径的方法及装置。

背景技术

移动通信的安全问题正越来越多地受到关注。在数据传输过程中，发送端可以对传输的数据进行加密保护和完整性保护，接收端可以对接收到的加密数据进行解密和完整性验证，从而实现数据的安全保护。

目前，数据的安全保护可以在终端和基站之间进行，以上行传输为例，终端可以在完成对数据的加密和完整性保护后发送至基站，基站可以负责数据解密和完整性验证。数据的安全保护也可以在终端和用户面功能(user plane function，简称UPF)之间进行，以上行传输为例，终端可以在完成对数据的加密和完整性保护后通过基站发送至UPF，UPF可以负责数据解密和完整性验证。当固定的在终端和基站之间，或者，终端和UPF之间对数据进行安全保护时，数据的安全保护无法适应不断变化的网络场景。

发明内容

本申请实施例提供了一种切换传输路径的方法及装置，用于使得数据的安全保护灵活的适应不断变化的网络场景。

为达到上述目的，本申请实施例提供了如下技术方案：

第一方面，提供了一种切换传输路径的方法，包括：终端从接入网节点接收用于指示切换终端的安全传输路径的第二消息，根据第二消息将终端的至少一个会话的安全上下文从源安全上下文切换至目标安全上下文，并根据至少一个会话的目标安全上下文在目标安全传输路径上传输属于至少一个会话的数据。

其中，终端的安全传输路径包括第一安全传输路径和第二安全传输路径，第一安全传输路径是安全终结点为接入网节点和终端的用户面传输路径，第二安全传输路径是安全终结点为用户面网关和终端的用户面传输路径，安全终结点为对终端的用户面数据进行安全保护的节点；一个会话的源安全上下文为属于该会话的数据在源安全传输路径上传输时终端所使用的安全上下文，一个会话的目标安全上下文为属于该会话的数据在目标安全传输路径上传输时终端所使用的安全上下文；源安全传输路径为切换终端的安全传输路径之前终端的安全传输路径；目标安全传输路径为切换终端的安全传输路径之后终端的安全传输路径。

第一方面提供的方法，可以实现终端的第一安全传输路径和第二安全传输路径之间的切换，从而在不同的场景中，选择是否切换终端的安全传输路径，使得数据的安全保护灵活的适应不断变化的网络场景。

在一种可能的实现方式中，第二消息中包括第一指示信息；第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，源安全终结点为源安全传输路径的安全终结点；目标 安全终结点为目标安全传输路径的安全终结点，源安全终结点和目标安全终结点中一个为接入网节点，另一个为用户面网关，该方法还包括：在第一指示信息用于指示源安全传输路径的情况下，终端根据第二消息中的第一指示信息确定源安全传输路径；或者，在第一指示信息用于指示目标安全传输路径的情况下，终端根据第二消息中的第一指示信息确定目标安全传输路径；或者，在第一指示信息用于指示源安全传输路径和目标安全传输路径的情况下，终端根据第二消息中的第一指示信息确定源安全传输路径和目标安全传输路径；或者，在第一指示信息用于指示源安全终结点的情况下，终端根据第二消息中的第一指示信息确定源安全终结点；或者，在第一指示信息用于指示目标安全终结点的情况下，终端根据第二消息中的第一指示信息确定目标安全终结点；或者，在第一指示信息用于指示源安全终结点和目标安全终结点的情况下，终端根据第二消息中的第一指示信息确定源安全终结点和目标安全终结点。该种可能的实现方式，可以使得终端确定源安全传输路径和/或目标安全传输路径；或者，确定源安全终结点和/或目标安全终结点。

在一种可能的实现方式中，第二消息还包括第一会话的标识，第二消息具体用于指示切换终端的第一会话的安全传输路径，至少一个会话为第一会话。该种可能的实现方式，可以针对某个会话切换安全传输路径，从而在不同的场景中，选择是否切换终端的某个会话的安全传输路径，使得数据的安全保护灵活的适应不断变化的网络场景。

在一种可能的实现方式中，第二消息还包括第一会话的第一业务流的标识，此时，第二消息具体用于指示切换终端的第一会话的第一业务流的安全传输路径；终端根据第二消息将终端的至少一个会话的安全上下文从源安全上下文切换至目标安全上下文，包括：终端根据第二消息将第一会话的第一业务流的安全上下文从源安全上下文切换至目标安全上下文；一个业务流的源安全上下文为属于该业务流的数据在源安全传输路径上传输时终端所使用的安全上下文，一个业务流的目标安全上下文为属于该业务流的数据在目标安全传输路径上传输时终端所使用的安全上下文；终端根据至少一个会话的目标安全上下文在目标安全传输路径上传输属于至少一个会话的数据，包括：终端根据第一会话的第一业务流的目标安全上下文在目标安全传输路径上传输属于第一会话的第一业务流的数据。该种可能的实现方式，可以针对某个业务流切换安全传输路径，从而在不同的场景中，选择是否切换终端的某个业务流的安全传输路径，使得数据的安全保护灵活的适应不断变化的网络场景。

第二方面，提供了一种切换传输路径的方法，包括：第一网元确定切换终端的安全传输路径，并向第二网元发送用于指示切换终端的安全传输路径的第一消息；第一网元为移动性管理网元，第二网元为接入网节点；或者，第一网元为会话管理网元，第二网元为用户面网关。

其中，终端的安全传输路径包括第一安全传输路径和第二安全传输路径，第一安全传输路径是安全终结点为接入网节点和终端的用户面传输路径，第二安全传输路径是安全终结点为用户面网关和终端的用户面传输路径，安全终结点为对终端的用户面数据进行安全保护的节点。

第二方面提供的方法，可以实现终端的第一安全传输路径和第二安全传输路径之 间的切换，从而在不同的场景中，选择是否切换终端的安全传输路径，使得数据的安全保护灵活的适应不断变化的网络场景。

在一种可能的实现方式中，第一消息包括第一指示信息；第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，源安全传输路径为切换终端的安全传输路径之前终端的安全传输路径；目标安全传输路径为切换终端的安全传输路径之后终端的安全传输路径；源安全终结点为源安全传输路径的安全终结点；目标安全终结点为目标安全传输路径的安全终结点，源安全终结点和目标安全终结点中一个为接入网节点，另一个为用户面网关。该种可能的实现方式，可以使得第二网元确定源安全传输路径和/或目标安全传输路径；或者，确定源安全终结点和/或目标安全终结点。

在一种可能的实现方式中，第一消息还包括第一会话的标识，第一消息具体用于指示切换终端的第一会话的安全传输路径。该种可能的实现方式，可以针对某个会话切换安全传输路径，从而在不同的场景中，选择是否切换终端的某个会话的安全传输路径，使得数据的安全保护灵活的适应不断变化的网络场景。

在一种可能的实现方式中，第一消息还包括第一会话的第一业务流的标识，第一消息具体用于指示切换第一业务流的安全传输路径。该种可能的实现方式，可以针对某个业务流切换安全传输路径，从而在不同的场景中，选择是否切换终端的某个业务流的安全传输路径，使得数据的安全保护灵活的适应不断变化的网络场景。

在一种可能的实现方式中，第二网元为接入网节点，第一指示信息至少用于指示目标安全终结点，目标安全终结点为用户面网关，第一消息还包括用户面网关的上行TEID。该种可能的实现方式，可以使得接入网节点确定采用的隧道，以便正确的将数据传输至用户面网关。

在一种可能的实现方式中，第一网元确定切换终端的安全传输路径，包括：第一网元根据网络负载、网络运行和部署情况、本地策略、第三方策略、运营商策略、大数据分析结果中的一个或多个确定切换终端的安全传输路径；或者，第一网元接收第二指示信息并根据第二指示信息确定切换终端的安全传输路径，第二指示信息用于指示切换终端的安全传输路径。该种可能的实现方式，提供了多种确定切换安全传输路径的方法，以适应不同的业务场景。

第三方面，提供了一种切换传输路径的方法，包括：第二网元从第一网元接收用于指示切换终端的安全传输路径的第一消息，在目标安全传输路径的安全终结点包括第二网元的情况下，第二网元根据第一消息获取终端的至少一个会话的安全上下文，并采用至少一个会话的安全上下文对至少一个会话进行安全保护。

其中，终端的安全传输路径包括第一安全传输路径和第二安全传输路径，第一安全传输路径是安全终结点为接入网节点和终端的用户面传输路径，第二安全传输路径是安全终结点为用户面网关和终端的用户面传输路径，安全终结点为对终端的用户面数据进行安全保护的节点；其中，第一网元为移动性管理网元，第二网元为接入网节点；或者，第一网元为会话管理网元，第二网元为用户面网关；至少一个会话为从源安全传输路径切换到目标安全传输路径的会话，源安全传输路径为切换终端的安全传输路径之前终端的安全传输路径；目标安全传输路径为切换终端的安全传输路径之后 终端的安全传输路径。

第三方面提供的方法，可以实现终端的第一安全传输路径和第二安全传输路径之间的切换，从而在不同的场景中，选择是否切换终端的安全传输路径，使得数据的安全保护灵活的适应不断变化的网络场景。

在一种可能的实现方式中，该方法还包括：在目标安全传输路径的安全终结点不包括第二网元的情况下，第二网元根据第一消息删除至少一个会话的安全上下文。该种可能的实现方式，可以节约第二网元的存储资源。

在一种可能的实现方式中，第一消息包括第一指示信息；第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，源安全终结点为源安全传输路径的安全终结点；目标安全终结点为目标安全传输路径的安全终结点，源安全终结点和目标安全终结点中一个为接入网节点，另一个为用户面网关，该方法还包括：在第一指示信息用于指示源安全传输路径的情况下，第二网元根据第一消息中的第一指示信息确定源安全传输路径；或者，在第一指示信息用于指示目标安全传输路径的情况下，第二网元根据第一消息中的第一指示信息确定目标安全传输路径；或者，在第一指示信息用于指示源安全传输路径和目标安全传输路径的情况下，第二网元根据第一消息中的第一指示信息确定源安全传输路径和目标安全传输路径；或者，在第一指示信息用于指示源安全终结点的情况下，第二网元根据第一消息中的第一指示信息确定源安全终结点；或者，在第一指示信息用于指示目标安全终结点的情况下，第二网元根据第一消息中的第一指示信息确定目标安全终结点；或者，在第一指示信息用于指示源安全终结点和目标安全终结点的情况下，第二网元根据第一消息中的第一指示信息确定源安全终结点和目标安全终结点。该种可能的实现方式，可以使得第二网元确定源安全传输路径和/或目标安全传输路径；或者，确定源安全终结点和/或目标安全终结点。

在一种可能的实现方式中，第一消息还包括第一会话的标识，第一消息具体用于指示切换终端的第一会话的安全传输路径，至少一个会话为第一会话。该种可能的实现方式，可以针对某个会话切换安全传输路径，从而在不同的场景中，选择是否切换终端的某个会话的安全传输路径，使得数据的安全保护灵活的适应不断变化的网络场景。

在一种可能的实现方式中，第一消息还包括第一会话的第一业务流的标识，第一消息具体用于指示切换终端的第一会话的第一业务流的安全传输路径；第二网元根据第一消息获取终端的至少一个会话的安全上下文，包括：第二网元根据第一消息获取第一会话的第一业务流的安全上下文。该种可能的实现方式，可以针对某个业务流切换安全传输路径，从而在不同的场景中，选择是否切换终端的某个业务流的安全传输路径，使得数据的安全保护灵活的适应不断变化的网络场景。

在一种可能的实现方式中，第一消息还包括第一会话的第一业务流的标识，第一消息具体用于指示切换终端的第一会话的第一业务流的安全传输路径，在目标安全传输路径的安全终结点不包括第二网元的情况下；第二网元根据第一消息删除至少一个会话的安全上下文，包括：第二网元根据第一消息删除第一会话的第一业务流的安全上下文。

在一种可能的实现方式中，第二网元为接入网节点，第一指示信息至少用于指示目标安全终结点，目标安全终结点为用户面网关，第一消息还包括用户面网关的上行TEID，该方法还包括：第二网元通过上行TEID指示的隧道向用户面网关发送属于至少一个会话的数据，至少一个会话采用至少一个会话的安全上下文进行安全保护。

在一种可能的实现方式中，第二网元为接入网节点，该方法还包括：第二网元根据第一消息向终端发送第二消息，第二消息用于指示切换终端的安全传输路径。该种可能的实现方式，可以指示终端切换安全传输路径，从而使得终端切换安全上下文，保证数据的正确传输。

在一种可能的实现方式中，在第一消息包括第一指示信息的情况下，第二消息包括第一指示信息。该种可能的实现方式，可以使得终端确定源安全传输路径和/或目标安全传输路径；或者，确定源安全终结点和/或目标安全终结点。

在一种可能的实现方式中，在第一消息还包括第一会话的标识的情况下，第二消息还包括第一会话的标识，第二消息具体用于指示切换终端的第一会话的安全传输路径。该种可能的实现方式，可以针对某个会话切换安全传输路径，从而在不同的场景中，使得终端切换会话的安全上下文，保证数据的正确传输。

在一种可能的实现方式中，在第一消息还包括第一会话的第一业务流的标识的情况下，第二消息还包括第一会话的第一业务流的标识，第二消息具体用于指示切换第一业务流的安全传输路径。该种可能的实现方式，可以针对某个业务流切换安全传输路径，从而在不同的场景中，使得终端切换业务流的安全上下文，保证数据的正确传输。

第四方面，提供了一种切换传输路径的装置，包括：通信单元和处理单元；所述通信单元，用于从接入网节点接收第二消息，所述第二消息用于指示切换所述切换传输路径的装置的安全传输路径，所述切换传输路径的装置的安全传输路径包括第一安全传输路径和第二安全传输路径，所述第一安全传输路径是安全终结点为接入网节点和所述切换传输路径的装置的用户面传输路径，所述第二安全传输路径是安全终结点为用户面网关和所述切换传输路径的装置的用户面传输路径，所述安全终结点为对所述切换传输路径的装置的用户面数据进行安全保护的节点；所述处理单元，用于根据所述第二消息将所述切换传输路径的装置的至少一个会话的安全上下文从源安全上下文切换至目标安全上下文，一个会话的源安全上下文为属于该会话的数据在源安全传输路径上传输时所述切换传输路径的装置所使用的安全上下文，一个会话的目标安全上下文为属于该会话的数据在目标安全传输路径上传输时所述切换传输路径的装置所使用的安全上下文；所述源安全传输路径为切换所述切换传输路径的装置的安全传输路径之前所述切换传输路径的装置的安全传输路径；所述目标安全传输路径为切换所述切换传输路径的装置的安全传输路径之后所述切换传输路径的装置的安全传输路径；所述处理单元，还用于根据所述至少一个会话的目标安全上下文在所述目标安全传输路径上传输属于所述至少一个会话的数据。

在一种可能的实现方式中，所述第二消息中包括第一指示信息；所述第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，所述第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，所述源安全终结点为所述源安全传输路 径的安全终结点；所述目标安全终结点为所述目标安全传输路径的安全终结点，所述源安全终结点和所述目标安全终结点中一个为所述接入网节点，另一个为所述用户面网关；在所述第一指示信息用于指示所述源安全传输路径的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述源安全传输路径；或者，在所述第一指示信息用于指示所述目标安全传输路径的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述目标安全传输路径；或者，在所述第一指示信息用于指示所述源安全传输路径和所述目标安全传输路径的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述源安全传输路径和所述目标安全传输路径；或者，在所述第一指示信息用于指示所述源安全终结点的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述源安全终结点；或者，在所述第一指示信息用于指示所述目标安全终结点的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述目标安全终结点；或者，在所述第一指示信息用于指示所述源安全终结点和所述目标安全终结点的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述源安全终结点和所述目标安全终结点。

在一种可能的实现方式中，所述第二消息还包括第一会话的标识，所述第二消息具体用于指示切换所述切换传输路径的装置的所述第一会话的安全传输路径，所述至少一个会话为所述第一会话。

在一种可能的实现方式中，所述第二消息还包括所述第一会话的第一业务流的标识，所述第二消息具体用于指示切换所述切换传输路径的装置的所述第一会话的所述第一业务流的安全传输路径；所述处理单元，具体用于：根据所述第二消息将所述第一会话的所述第一业务流的安全上下文从源安全上下文切换至目标安全上下文；一个业务流的源安全上下文为属于该业务流的数据在源安全传输路径上传输时所述切换传输路径的装置所使用的安全上下文，一个业务流的目标安全上下文为属于该业务流的数据在目标安全传输路径上传输时所述切换传输路径的装置所使用的安全上下文；所述处理单元，具体用于：根据所述第一会话的所述第一业务流的目标安全上下文在所述目标安全传输路径上传输属于所述第一会话的所述第一业务流的数据。

第五方面，提供了一种切换传输路径的装置，包括：通信单元和处理单元；所述处理单元，用于确定切换终端的安全传输路径，所述终端的安全传输路径包括第一安全传输路径和第二安全传输路径，所述第一安全传输路径是安全终结点为接入网节点和所述终端的用户面传输路径，所述第二安全传输路径是安全终结点为用户面网关和所述终端的用户面传输路径，所述安全终结点为对所述终端的用户面数据进行安全保护的节点；所述通信单元，用于向第二网元发送第一消息，所述第一消息用于指示切换所述终端的安全传输路径；其中，所述切换传输路径的装置为移动性管理网元，所述第二网元为所述接入网节点；或者，所述切换传输路径的装置为会话管理网元，所述第二网元为所述用户面网关。

在一种可能的实现方式中，所述第一消息包括第一指示信息；所述第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，所述第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，所述源安全传输路径为切换所述终端的安 全传输路径之前所述终端的安全传输路径；所述目标安全传输路径为切换所述终端的安全传输路径之后所述终端的安全传输路径；所述源安全终结点为所述源安全传输路径的安全终结点；所述目标安全终结点为所述目标安全传输路径的安全终结点，所述源安全终结点和所述目标安全终结点中一个为所述接入网节点，另一个为所述用户面网关。

在一种可能的实现方式中，所述第一消息还包括第一会话的标识，所述第一消息具体用于指示切换所述终端的所述第一会话的安全传输路径。

在一种可能的实现方式中，所述第一消息还包括所述第一会话的第一业务流的标识，所述第一消息具体用于指示切换所述第一业务流的安全传输路径。

在一种可能的实现方式中，所述第二网元为所述接入网节点，所述第一指示信息至少用于指示所述目标安全终结点，所述目标安全终结点为所述用户面网关，所述第一消息还包括所述用户面网关的上行TEID。

在一种可能的实现方式中，所述处理单元，还用于根据网络负载、网络运行和部署情况、本地策略、第三方策略、运营商策略、大数据分析结果中的一个或多个确定切换所述终端的安全传输路径；或者，所述通信单元，还用于接收第二指示信息并根据所述第二指示信息确定切换所述终端的安全传输路径，所述第二指示信息用于指示切换所述终端的安全传输路径。

第六方面，提供了一种切换传输路径的装置，包括：通信单元和处理单元；所述通信单元，用于从第一网元接收第一消息，所述第一消息用于指示切换终端的安全传输路径，所述终端的安全传输路径包括第一安全传输路径和第二安全传输路径，所述第一安全传输路径是安全终结点为接入网节点和所述终端的用户面传输路径，所述第二安全传输路径是安全终结点为用户面网关和所述终端的用户面传输路径，所述安全终结点为对所述终端的用户面数据进行安全保护的节点；其中，所述第一网元为移动性管理网元，所述切换传输路径的装置为所述接入网节点；或者，所述第一网元为会话管理网元，所述切换传输路径的装置为所述用户面网关；在目标安全传输路径的安全终结点包括所述切换传输路径的装置的情况下，所述处理单元，用于根据所述第一消息获取所述终端的至少一个会话的安全上下文，并采用所述至少一个会话的安全上下文对所述至少一个会话进行安全保护；其中，所述至少一个会话为从源安全传输路径切换到所述目标安全传输路径的会话，所述源安全传输路径为切换所述终端的安全传输路径之前所述终端的安全传输路径；所述目标安全传输路径为切换所述终端的安全传输路径之后所述终端的安全传输路径。

在一种可能的实现方式中，在所述目标安全传输路径的安全终结点不包括所述切换传输路径的装置的情况下，所述处理单元，还用于根据所述第一消息删除所述至少一个会话的安全上下文。

在一种可能的实现方式中，所述第一消息包括第一指示信息；所述第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，所述第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，所述源安全终结点为所述源安全传输路径的安全终结点；所述目标安全终结点为所述目标安全传输路径的安全终结点，所述源安全终结点和所述目标安全终结点中一个为所述接入网节点，另一个为所述用户面网 关；在所述第一指示信息用于指示所述源安全传输路径的情况下，所述处理单元，还用于根据所述第一消息中的第一指示信息确定所述源安全传输路径；或者，在所述第一指示信息用于指示所述目标安全传输路径的情况下，所述处理单元，还用于根据所述第一消息中的第一指示信息确定所述目标安全传输路径；或者，在所述第一指示信息用于指示所述源安全传输路径和所述目标安全传输路径的情况下，所述处理单元，还用于根据所述第一消息中的第一指示信息确定所述源安全传输路径和所述目标安全传输路径；或者，在所述第一指示信息用于指示所述源安全终结点的情况下，所述处理单元，还用于根据所述第一消息中的第一指示信息确定所述源安全终结点；或者，在所述第一指示信息用于指示所述目标安全终结点的情况下，所述处理单元，还用于根据所述第一消息中的第一指示信息确定所述目标安全终结点；或者，在所述第一指示信息用于指示所述源安全终结点和所述目标安全终结点的情况下，所述处理单元，还用于根据所述第一消息中的第一指示信息确定所述源安全终结点和所述目标安全终结点。

在一种可能的实现方式中，所述第一消息还包括第一会话的标识，所述第一消息具体用于指示切换所述终端的所述第一会话的安全传输路径，所述至少一个会话为所述第一会话。

在一种可能的实现方式中，所述第一消息还包括所述第一会话的第一业务流的标识，所述第一消息具体用于指示切换所述终端的所述第一会话的所述第一业务流的安全传输路径；所述处理单元，具体用于：根据所述第一消息获取所述第一会话的所述第一业务流的安全上下文。

在一种可能的实现方式中，所述第一消息还包括所述第一会话的第一业务流的标识，所述第一消息具体用于指示切换所述终端的所述第一会话的所述第一业务流的安全传输路径，在所述目标安全传输路径的安全终结点不包括所述切换传输路径的装置的情况下；所述处理单元，具体用于：根据所述第一消息删除所述第一会话的所述第一业务流的安全上下文。

在一种可能的实现方式中，所述切换传输路径的装置为所述接入网节点，所述第一指示信息至少用于指示所述目标安全终结点，所述目标安全终结点为所述用户面网关，所述第一消息还包括所述用户面网关的上行TEID，所述处理单元，还用于采用所述通信单元通过所述上行TEID指示的隧道向所述用户面网关发送属于所述至少一个会话的数据，所述至少一个会话采用所述至少一个会话的安全上下文进行安全保护。

在一种可能的实现方式中，所述切换传输路径的装置为所述接入网节点；所述处理单元，还用于根据所述第一消息通过所述通信单元向所述终端发送第二消息，所述第二消息用于指示切换所述终端的安全传输路径。

在一种可能的实现方式中，在所述第一消息包括所述第一指示信息的情况下，所述第二消息包括所述第一指示信息。

在一种可能的实现方式中，在所述第一消息还包括所述第一会话的标识的情况下，所述第二消息还包括所述第一会话的标识，所述第二消息具体用于指示切换所述终端的所述第一会话的安全传输路径。

在一种可能的实现方式中，在所述第一消息还包括所述第一会话的第一业务流的 标识的情况下，所述第二消息还包括所述第一会话的第一业务流的标识，所述第二消息具体用于指示切换所述第一业务流的安全传输路径。

第七方面，提供了一种切换传输路径的装置，该切换传输路径的装置包括：存储器和处理器；可选的，还包括至少一个通信接口和通信总线；存储器用于存储计算机执行指令，处理器、存储器和至少一个通信接口通过通信总线连接，处理器执行存储器存储的计算机执行指令，以使切换传输路径的装置实现第一方面至第三方面中的任一方面提供的任意一种方法。该装置可以以芯片的产品形态存在。

第八方面，提供了一种通信系统，包括：第四方面、第五方面和第六方面提供的切换传输路径的装置。

第九方面，提供了一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行第一方面至第三方面中的任一方面提供的任意一种方法。

第十方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行第一方面至第三方面中的任一方面提供的任意一种方法。

第四方面至第十方面中的任一种设计方式所带来的技术效果可参见第一方面至第三方面中对应设计方式所带来的技术效果，此处不再赘述。

其中，需要说明的是，上述各个方面中的任意一个方面的各种可能的实现方式，在方案不矛盾的前提下，均可以进行组合。

附图说明

图1为一种网络架构的组成示意图；

图2为本申请实施例提供的一种安全传输路径的示意图；

图3为本申请实施例提供的一种切换传输路径的方法的流程图；

图4为本申请实施例提供的又一种切换传输路径的方法的流程图；

图5为本申请实施例提供的又一种切换传输路径的方法的流程图；

图6为本申请实施例提供的又一种切换传输路径的方法的流程图；

图7为本申请实施例提供的再一种切换传输路径的方法的流程图；

图8为本申请实施例提供的一种切换传输路径的装置的组成示意图；

图9为本申请实施例提供的一种切换传输路径的装置的硬件结构示意图；

图10为本申请实施例提供的一种终端和接入网节点的硬件结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。“至少一个”是指一个或多个。

另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

本申请实施例的技术方案可以应用于各种通信系统。例如：正交频分多址(orthogonal frequency-division multiple access，简称OFDMA)、单载波频分多址(single carrier FDMA，简称SC-FDMA)和其它系统等。术语“系统”可以和“网络”相互替换。其中，OFDMA系统可以实现诸如演进通用无线陆地接入(evolved universal terrestrial radio access，简称E-UTRA)、超级移动宽带(ultra mobile broadband，简称UMB)等无线技术。E-UTRA是通用移动通信系统(universal mobile telecommunications system，简称UMTS)演进版本。第三代合作伙伴计划(3rd generation partnership project，简称3GPP)在长期演进(long term evolution，简称LTE)和基于LTE演进的各种版本是使用E-UTRA的新版本。第五代(5th-generation，简称5G)通信系统、新空口(new radio，简称NR)通信系统是正在研究当中的下一代通信系统。此外，通信系统还可以适用于面向未来的通信技术，都适用本申请实施例提供的技术方案。

示例性的，本申请实施例提供的方法可以应用于图1所示的5G通信系统。如图1所示，该5G通信系统可以包括下述网络功能(network functions，简称NF)实体中的一个或多个：鉴权服务器功能(authentication server function，简称AUSF)实体、接入和移动管理功能(access and mobility management function，简称AMF)实体、会话管理功能(session management function，简称SMF)实体、(无线)接入网((radio)access network，简称(R)AN)设备、UPF实体、数据网络(data network，简称DN)、终端、应用功能(application function，简称AF)实体、统一数据管理(unified data management，简称UDM)实体、策略控制功能(policy control function，简称PCF)实体、网络开放功能(network exposure function，简称NEF)实体，网络功能库功能(network repository function，简称NRF)实体。

RAN设备是指RAN中的设备。基于无线通信技术实现接入网络功能的接入网可以称为RAN。RAN能够管理无线资源，为终端提供接入服务，进而完成控制信号和用户数据在终端和核心网之间的转发。RAN可以采用3GPP接入技术(例如，3G、4G或5G通信系统中采用的无线接入技术)和非3GPP(non-3GPP)接入技术。RAN为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等使用不同质量的传输隧道。非3GPP接入技术是指不符合3GPP标准规范的接入技术，例如，以无线保真(wireless-fidelity，简称WIFI)中的接入点(access point，简称AP)为代表的空口技术。

RAN设备主要负责空口侧的无线资源管理、服务质量(quality of service，简称QoS)管理、数据压缩和加密等功能。RAN设备可以包括各种形式的基站，例如：宏基站，微基站(也称为小站)，中继站，AP等。在5G通信系统中，基站称为下一代基站节点(next generation node base station，简称gNB)。5G通信系统中的RAN设备也可以称为NG-RAN设备或NG-RAN节点。

AMF实体属于核心网实体，主要负责移动性管理处理部分，例如：接入控制、移动性管理、附着与去附着以及SMF实体选择等功能。AMF实体为终端中的会话提供服务的情况下，会为该会话提供控制面的存储资源，以存储会话标识、与会话标识关联的SMF实体标识等。

SMF实体主要用于会话管理、终端的互联网协议(internet protocol，简称IP)地址分配和管理、选择可管理用户平面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。

UPF实体可用于分组路由和转发、或用户面数据的QoS处理等。用户数据可通过该网元接入到DN。

DN是用于提供传输数据的网络。例如，运营商业务的网络、因特(Internet)网、第三方的业务网络等。

本申请实施例涉及到的网元包括移动性管理网元、会话管理网元、用户面网关、接入网节点和终端。

其中，接入网节点可以是各种形式的宏基站，微基站(也称为小站)，中继站，AP等，也可以包括各种形式的控制节点，如网络控制器。所述控制节点可以连接多个基站，并为所述多个基站覆盖下的多个终端配置资源。在采用不同的无线接入技术的系统中，具备基站功能的设备的名称可能会有所不同，例如，全球移动通信系统(global system for mobile communication，简称GSM)或码分多址(code division multiple access，简称CDMA)网络中可以称为基站收发信台(base transceiver station，简称BTS)，宽带码分多址(wideband code division multiple access，简称WCDMA)中可以称为基站(NodeB)，LTE系统中可以称为演进型基站(evolved NodeB，简称eNB或eNodeB)，5G通信系统或NR通信系统中可以称为gNB，本申请对基站的具体名称不作限定。接入网节点还可以是云无线接入网络(cloud radio access network，简称CRAN)场景下的无线控制器、未来演进的公共陆地移动网络(public land mobile network，简称PLMN)网络中的接入网节点、传输接收节点(transmission and reception point，简称TRP)等。

终端也可以称为用户设备(user equipment，简称UE)、终端设备、接入终端、用户单元、用户站、移动站、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置等。终端可以是无人机、物联网(internet of things，简称IoT)设备(例如，传感器，电表，水表等)、车联网(vehicle-to-everything，简称V2X)设备、无线局域网(wireless local area networks，简称WLAN)中的站点(station，简称ST)、蜂窝电话、无绳电话、会话启动协议(session initiation protocol，简称SIP)电话、无线本地环路(wireless local loop，简称WLL)站、个人数字处理(personal digital assistant，简称PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备(也可以称为穿戴式智能设备)。终端还可以为下一代通信系统中的终端，例如，5G通信系统中的终端或者未来演进的PLMN中的终端，NR通信系统中的终端等。

用户面网关可以为各个通信系统中的用户面网关，例如，UPF实体，也可以为网关代理(proxy)，例如，UPF的代理(proxy)、以及可能具有用户面网关功能的NEF等。其中，用户面网关功能包括分组路由和转发用户面数据，对用户面数据进行QoS处理等。

为了描述方便，本申请实施例中以提供的方法应用于NR通信系统或5G通信系统中为例进行说明。其中，移动性管理网元在下文中记为AMF(即下文中的AMF均可以 替换为移动性管理网元)，会话管理网元在下文中记为SMF(即下文中的SMF均可以替换为会话管理网元)，接入网节点在下文中记为RAN节点(即下文中的RAN节点均可以替换为接入网节点)，用户面网关在下文中记为UPF(即下文中的UPF均可以替换为用户面网关)。本申请实施例中涉及到的网元均为NR通信系统或5G通信系统中的网元，可以理解的是，当本申请实施例提供的方法应用于其他通信系统(例如，4G通信系统，未来的通信系统)中时，将5G通信系统中的网元替换为该其他通信系统中的具有相同或相似功能的网元即可。例如，当本申请实施例提供的方法应用于4G通信系统中时，下文中的AMF可以替换为MME。

为了使得本申请实施例更加的清楚，以下对本申请实施例中涉及到的部分概念作简单介绍。

1、小数据(small data)

小数据是指数据量较小的数据。例如，DN与测距仪、水表、电表、传感器等物联网设备之间传输的数据。小数据传输主要应用于蜂窝物联网(cellular internet of things，简称CIoT)中，可以用于低复杂性、能量受限且低传输速率的终端。在某些场景中，这些终端可能是低移动性的，例如，水表、电表等。

2、安全上下文

安全上下文是指可以用于实现数据的安全保护(例如，加解密和/或完整性保护)的信息。

安全上下文可以包括：加密密钥/解密密钥、完整性保护密钥、新鲜参数(比如NAS Count，其中，NAS是指非接入层(Non-access stratum))、密钥集标识(key set identifier，简称KSI)、安全算法、安全相关指示(例如，是否开启加密的指示，是否开启完整性保护的指示、密钥使用期限的指示，密钥长度)等。

其中，加密密钥为发送端根据加密算法对明文进行加密以生成密文时输入的参数。若使用对称加密的方法，加密密钥和解密密钥是相同的。接收端可以根据相同的加密算法和加密密钥对密文进行解密。换句话说，发送端和接收端可以基于同一个密钥去加密和解密。

完整性保护密钥为发送端根据完整性保护算法对明文或密文进行完整性保护时输入的参数。接收端可以根据相同的完整性保护算法和完整性保护密钥对进行了完整性保护的数据进行完整性验证。

安全算法即对数据进行安全保护时使用的算法。例如，加密算法、解密算法、完整性保护算法等。

3、安全终结点(termination point)

安全终结点为对终端的用户面数据进行安全保护的节点。安全终结点负责数据的加解密和/或完整性保护。

4、会话

本申请实施例中的会话是指终端和服务网络之间的一种数据连接。会话在5G通信网络中可以称为协议数据单元(protocol data unit，简称PDU)会话，在4G通信网络中可以称为承载。在未来的通信网络中可能会有其他的名称，本申请实施例对此不作限制。会话可以包括多个业务流，业务流在5G通信网络中可以为Qos流(flow)。

5、安全传输路径

安全传输路径是指两个安全终结点之间的传输路径。其中，一个安全终结点负责数据的加密和完整性保护，另一个安全终结点负责数据的解密和完整性验证。

参见图2，这两个安全终结点可以为终端和RAN节点，此时，用户面安全建立在终端和RAN节点之间。该情况下，安全传输路径可以称为：UE-RAN安全传输路径。此时，安全终结点采用的安全上下文可以称为：UE-RAN安全上下文。

参见图2，这两个安全终结点也可以为终端和UPF，此时，用户面安全建立在终端和UPF之间。该情况下，安全传输路径可以称为：UE-UPF安全传输路径。此时，安全终结点采用的安全上下文可以称为：UE-UPF安全上下文。

示例性的，UE-UPF安全传输路径可以为小数据快速通道(smalldata fast path，简称SDFP)，SDFP用于优化上下文管理空闲态(context management IDLE，简称CM-IDLE)状态下CIOT终端的小数据传输。具体的说，是建立快速通道，使得小数据可以快速的在终端→RAN节点→UPF专用通道上通过N3和N6接口传输。SDFP可以在CM-IDLE和上下文管理连接态(context managementCONNECTED，简称CM-CONNECTED)的状态转换过程中建立，CM-CONNECTED是指终端处于连接时的状态或传输数据的状态，CM-IDLE和CM-CONNECTED的状态转换过程中不需要或者需要极少的信令交互。

其中，通过UE-RAN安全传输路径传输数据的数据传输方式和通过UE-UPF安全传输路径传输数据的数据传输方式可以认为是两种不同的安全传输方式，该情况下，下文中的切换安全传输路径也可以认为是切换安全传输方式。

6、源安全传输路径、目标安全传输路径、源安全终结点、目标安全终结点

本申请实施例中涉及到切换终端的安全传输路径的场景，因此，本申请实施例中定义了源安全传输路径、目标安全传输路径、源安全终结点和目标安全终结点的概念。其中，源安全传输路径为切换终端的安全传输路径之前终端的安全传输路径。目标安全传输路径为切换终端的安全传输路径之后终端的安全传输路径。源安全终结点为源安全传输路径的安全终结点。目标安全终结点为目标安全传输路径的安全终结点。本申请实施例中的源安全终结点和目标安全终结点中一个为RAN节点，另一个为UPF。例如，源安全终结点为RAN节点，目标安全终结点为UPF；或者，源安全终结点为UPF，目标安全终结点为RAN节点。

需要说明的是，本申请实施例中的终端支持通过不同的安全传输路径传输数据。针对UE-RAN安全传输路径和UE-UPF安全传输路径，当终端采用其中一种安全传输路径传输数据时，若另一种安全传输路径更优，或者，安全终结点需要切换时，终端需要切换终端的安全传输路径，相应的，还需要切换终端的安全上下文，以便各个网元使用正确的安全上下文传输数据。为此，本申请实施例提供了一种切换传输路径的方法，可以应用于需要切换安全传输路径的场景中。

本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定。本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

需要指出的是，本申请各实施例中涉及的名词或术语可以相互参考，不予限制。

本申请实施例提供了一种切换传输路径的方法，包括：

301、第一网元确定切换终端的安全传输路径。

其中，第一网元为AMF或SMF。

终端的安全传输路径包括第一安全传输路径和第二安全传输路径。第一安全传输路径是安全终结点为RAN节点和终端的用户面传输路径，即UE-RAN安全传输路径。第二安全传输路径是安全终结点为UPF和终端的用户面传输路径，即UE-UPF安全传输路径。

302、第一网元向第二网元发送第一消息，第一消息用于指示切换终端的安全传输路径。相应的，第二网元从第一网元接收第一消息。

其中，在第一网元为AMF的情况下，第二网元为RAN节点。在第一网元为SMF的情况下，第二网元为UPF。

第一网元为AMF时，第一消息记为第一消息A，第一消息A可以为下一代应用协议(next generation application protocol，简称NGAP)消息，N2消息等。第一网元为SMF时，第一消息记为第一消息B。第一消息B可以为N4消息，例如，N4会话建立请求(N4 Session Establishment Request)，N4会话修改请求(N4 Session Modification Request)等。由于第一消息A和第一消息B是在不同的网元之间传输的消息，由此可知，第一消息A和第一消息B必然为不同的消息。

第一消息也可以称为切换请求、安全终结点切换请求、安全传输路径切换请求等，第一消息可以理解为通知安全传输路径切换的消息，消息名根据具体的业务场景可以不同。

在目标安全传输路径的安全终结点包括第二网元的情况下，步骤302之后可以执行步骤303。在目标安全传输路径的安全终结点不包括第二网元的情况下，步骤302之后可以执行步骤304(步骤304为可选步骤)。

303、第二网元根据第一消息获取终端的至少一个会话的安全上下文，并采用至少一个会话的安全上下文对至少一个会话进行安全保护。

其中，至少一个会话为从源安全传输路径切换到目标安全传输路径的会话。终端的至少一个会话可以为终端的全部会话，也可以为终端的部分会话。

在第二网元为RAN节点的情况下，RAN节点可以从存储的安全上下文中去查找得到至少一个会话的安全上下文，也可以自行生成至少一个会话的安全上下文。

在第二网元为UPF的情况下，UPF可以从SMF获取至少一个会话的安全上下文，也可以自行生成至少一个会话的安全上下文。

在步骤303之后，第二网元可以对终端的至少一个会话进行重配置。进一步的，在对终端的至少一个会话进行重配置之后，第二网元可以立即激活至少一个会话的完整性保护和/或加密，也可以在进行数据传输时激活至少一个会话的完整性保护和/或加密。

304、第二网元根据第一消息删除至少一个会话的安全上下文。

步骤304的执行可以起到节约第二网元的存储空间的效果。当然，第二网元也可以不删除至少一个会话的安全上下文，以便后续至少一个会话的恢复。

本申请实施例提供的方法，可以实现终端的第一安全传输路径和第二安全传输路 径之间的切换，从而在不同的场景中，选择是否切换终端的安全传输路径，使得数据的安全保护灵活的适应不断变化的网络场景。

可选的，步骤301在具体实现时可以通过以下方式一或方式二中的任意一种方式实现。

方式一、

第一网元根据网络负载、网络运行和部署情况、本地策略、第三方策略、运营商策略、大数据分析结果中的一个或多个确定切换终端的安全传输路径。

在第一网元根据网络负载确定切换终端的安全传输路径的情况下，一种可能的实现方式，第一网元可以在RAN节点的负载较高(例如，大于等于80％)时，确定将UE-RAN安全传输路径切换至UE-UPF安全传输路径。另一种可能的实现方式，第一网元可以在RAN节点的负载恢复正常(例如，小于等于60％)时，确定将UE-UPF安全传输路径切换至UE-RAN安全传输路径。

在第一网元根据网络运行和部署情况确定切换终端的安全传输路径的情况下，一种可能的实现方式，若发生了UPF重选(也可以称为切换)事件或其他移动性事件，当SMF选择的UPF不支持UE-UPF安全传输路径时，第一网元确定将UE-UPF安全传输路径切换至UE-RAN安全传输路径，此处的UE-UPF安全传输路径的安全终结点包括UPF重选之前的UPF。另一种可能的实现方式，若发生了UPF重选事件，当SMF选择的UPF支持UE-UPF安全传输路径时，第一网元确定将UE-RAN安全传输路径切换至UE-UPF安全传输路径，此处的UE-UPF安全传输路径的安全终结点包括UPF重选之后的UPF。

第一网元还可以根据本地策略、第三方策略、运营商策略等确定切换终端的安全传输路径。此处的本地策略、第三方策略、运营商策略可以分别为本地的、第三方发送的、运营商配置的确定切换终端的安全传输路径的规则，该规则可以根据实际的应用场景确定，此处不再一一展开描述。其中，本地策略可以为区域运营商或第三方配置在第一网元上的策略。第一网元还可以根据大数据分析结果确定切换终端的安全传输路径，例如，若大数据分析结果显示UE-RAN安全传输路径的数据传输效率优于UE-UPF安全传输路径，则第一网元可以确定将UE-UPF安全传输路径切换至UE-RAN安全传输路径。

另外，第一网元还可以根据网络负载、网络运行和部署情况、本地策略、第三方策略、运营商策略、大数据分析结果中的多个确定切换终端的安全传输路径。例如，第一网元根据网络负载以及网络运行和部署情况确定切换终端的安全传输路径。该情况下，若发生了UPF重选事件，当SMF选择的UPF支持UE-UPF安全传输路径、且RAN节点的负载较高(例如，大于等于80％)时，第一网元确定将UE-RAN安全传输路径切换至UE-UPF安全传输路径，此处的UE-UPF安全传输路径的安全终结点包括UPF重选之后的UPF。

方式二、

第一网元接收第二指示信息，并根据第二指示信息确定切换终端的安全传输路径，第二指示信息用于指示切换终端的安全传输路径。

在方式二下，确定切换终端的安全传输路径的网元可以为PCF、NEF、AF或其他可以提供用户数据传输策略信息的网元中的一个或多个。PCF、NEF、AF或其他可以提供 用户数据传输策略信息的网元可以采用类似于方式一中第一网元确定切换终端的安全传输路径的方法确定切换终端的安全传输路径。该情况下，第一网元可以从PCF、NEF、AF或其他可以提供用户数据传输策略信息的网元接收第二指示信息。

在第一网元为AMF的情况下，第一网元还可以从SMF接收第二指示信息，SMF可以采用方式一确定切换终端的安全传输路径，或者，根据PCF、NEF、AF或其他可以提供用户数据传输策略信息的网元发送的第二指示信息确定切换终端的安全传输路径。

在第一网元为SMF的情况下，第一网元还可以从AMF接收第二指示信息，AMF可以采用方式一确定切换终端的安全传输路径，或者，根据PCF、NEF、AF或其他可以提供用户数据传输策略信息的网元发送的第二指示信息确定切换终端的安全传输路径。

本申请实施例中通过图3至图6对上述实施例中的实现流程作示例性说明。在图3至图6中，第一网元为AMF时，上述步骤301至步骤304记为步骤301a至步骤304a。第一网元为SMF时，上述步骤301至步骤304记为步骤301b至步骤304b。其中，在图3和图5中，终端的安全传输路径从UE-UPF安全传输路径切换至UE-RAN安全传输路径，在图4和图6中，终端的安全传输路径从UE-RAN安全传输路径切换至UE-UPF安全传输路径。在图3和图4中，上述方法还包括：300a、SMF向AMF发送第二指示信息，该情况下，步骤301a具体包括：AMF根据第二指示信息确定切换终端的安全传输路径。在图5和图6中，上述方法还包括：300b、AMF向SMF发送第二指示信息，该情况下，步骤301b具体包括：SMF根据第二指示信息确定切换终端的安全传输路径。

可选的，第一消息包括第一指示信息；第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，第一指示信息用于指示源安全终结点和/或目标安全终结点。该情况下，上述方法还包括：

在第一指示信息用于指示源安全传输路径的情况下，第二网元根据第一消息中的第一指示信息确定源安全传输路径；或者，

在第一指示信息用于指示目标安全传输路径的情况下，第二网元根据第一消息中的第一指示信息确定目标安全传输路径；或者，

在第一指示信息用于指示源安全传输路径和目标安全传输路径的情况下，第二网元根据第一消息中的第一指示信息确定源安全传输路径和目标安全传输路径；或者，

在第一指示信息用于指示源安全终结点的情况下，第二网元根据第一消息中的第一指示信息确定源安全终结点；或者，

在第一指示信息用于指示目标安全终结点的情况下，第二网元根据第一消息中的第一指示信息确定目标安全终结点；或者，

在第一指示信息用于指示源安全终结点和目标安全终结点的情况下，第二网元根据第一消息中的第一指示信息确定源安全终结点和目标安全终结点。

其中，在第一指示信息用于指示源安全传输路径或目标安全传输路径的情况下，第一指示信息可以通过一个或多个比特(bit)位指示，该一个或多个比特位的值代表了源安全传输路径或目标安全传输路径是UE-UPF安全传输路径还是UE-RAN安全传输路径。例如，一个比特位的值为0时，表示源安全传输路径为UE-UPF安全传输路径，则目标安全传输路径自然为UE-RAN安全传输路径；该比特位的值为1时，表示源安全传输路径为UE-RAN安全传输路径，则目标安全传输路径自然为UE-UPF安全传输路径。

第一指示信息也可以通过字符串指示，例如，当字符串为“Normal”时，表示源安全传输路径或目标安全传输路径为UE-RAN安全传输路径，当字符串为“Small data”或“SDFP”时，表示源安全传输路径或目标安全传输路径为UE-UPF安全传输路径。

在第一指示信息用于指示源安全传输路径和目标安全传输路径的情况下，第一指示信息可以通过多个比特位指示。其中，一个比特位用于指示源安全传输路径，另一个比特位用于指示目标安全传输路径。

在第一指示信息用于指示源安全终结点和/或目标安全终结点的情况下，第一指示信息可以为源安全终结点的标识和/或目标安全终结点的标识。源安全终结点和目标安全终结点中一个为RAN节点，另一个为UPF。其中，RAN节点的标识可以为小区的标识、基站的标识、基站的集中式单元(centralized unit，简称CU)的标识、基站的分布式单元(distributed unit，简称DU)的标识、基站的频点的标识、基站的控制面的标识、基站的用户面的标识。UPF的标识(identity)可以为UPF的索引值(index)，UPF的计数值(Counter)(表明第几个UPF)、UPF的IP地址、UPF对应的隧道ID等。

需要说明的是，在UPF重选的场景下，在UPF重选完成之前，源安全终结点可以为UPF重选完成之前的UPF。在UPF重选的场景下，源安全终结点也可以为RAN节点，该情况下，在UPF重选完成之前，目标安全终结点可以为SMF或重选之前的UPF重新为终端选择的服务UPF(即UPF重选需要重选到的UPF)，在UPF重选完成之后，目标安全终结点可以为UPF重选完成后的UPF。

可选的，第一消息还包括第一会话的标识，第一消息具体用于指示切换终端的第一会话的安全传输路径。该情况下，上述至少一个会话为第一会话。

该情况下，第一网元可以进一步确定切换的为终端的第一会话的安全传输路径。该情况下，上述第二指示信息具体用于指示切换终端的第一会话的安全传输路径。进一步的，第二指示信息还可以用于指示源安全传输路径和目标安全传输路径。

其中，第一会话可以包括一个或多个会话。会话的标识可以为PDU会话的ID(PDU session ID)，会话对应的业务ID，会话对应的业务的业务类型等。

一个会话可以包括一个或多个业务流，在第二网元中，一个会话可以对应一个安全上下文。该情况下，以会话为PDU会话，业务流为Qos流为例，参见表1，若第一会话为PDU会话1，则第二网元可以获取安全上下文1，并采用安全上下文1对PDU会话1进行安全保护。若第一会话为PDU会话2和PDU会话3，则第二网元可以获取安全上下文2和安全上下文3，并采用安全上下文2和安全上下文3分别对PDU会话2和PDU会话3进行安全保护。

表1

可选的(记为可选方法1)，第一消息还包括第一会话的第一业务流的标识，第一消息具体用于指示切换第一业务流的安全传输路径。该情况下，步骤303在具体实现时，可以包括：第二网元根据第一消息获取第一会话的第一业务流的安全上下文。步骤304在具体实现时，可以包括：第二网元根据第一消息删除第一会话的第一业务流的安全上下文。

该情况下，在步骤303之后，第二网元可以对终端的第一会话的第一业务流进行重配置。进一步的，在对终端的第一会话的第一业务流进行重配置之后，第二网元可以立即激活第一会话的第一业务流的完整性保护和/或加密，也可以在进行数据传输时激活第一会话的第一业务流的完整性保护和/或加密。

在可选方法1中，第一网元可以进一步确定切换的为终端的第一会话的第一业务流的安全传输路径。该情况下，上述第二指示信息具体用于指示切换终端的第一会话的第一业务流的安全传输路径。进一步的，第二指示信息还可以用于指示源安全传输路径和目标安全传输路径。

其中，第一业务流可以包括一个或多个业务流。业务流的标识可以包括但不限于以下信息中的一个或多个：QoS流标识(QoS flow identifier，简称QFI)、5G Qos标识(5G QoS identifier，简称5QI)、QoS标识(Identifier)。

在第二网元中，一个会话的所有业务流可以对应一个安全上下文。该情况下，以会话为PDU会话，业务流为Qos流为例，参见表1，若第一会话为PDU会话1，第一会话的第一业务流为PDU会话1的Qos流1，则第二网元可以获取安全上下文1，并采用安全上下文1对PDU会话1的Qos流1进行安全保护。若第一会话为PDU会话2和PDU会话3，第一会话的第一业务流为PDU会话2的Qos流2和PDU会话3的Qos流1，则第二网元可以获取安全上下文2和安全上下文3，并采用安全上下文2和安全上下文3分别对PDU会话2的Qos流2和PDU会话3的Qos流1进行安全保护。

在第二网元中，一个会话的多个业务流也可以各自对应一个安全上下文。该情况下，以会话为PDU会话，业务流为Qos流为例，参见表2，若第一会话为PDU会话1，第一会话的第一业务流为PDU会话1的Qos流1，则第二网元可以获取安全上下文1，并采用安全上下文1对PDU会话1的Qos流1进行安全保护。若第一会话为PDU会话2和PDU会话3，第一会话的第一业务流为PDU会话2的Qos流2和PDU会话3的Qos流1，则第二网元可以获取安全上下文4和安全上下文5，并采用安全上下文4和安全上下文5分别对PDU会话2的Qos流2和PDU会话3的Qos流1进行安全保护。

表2

可选的，第一消息还包括终端的标识，以便第二网元确定切换安全传输路径的终端。终端的标识可以为：IP地址、永久设备标识(permanentequipment identifier， 简称PEI)、用户永久标识(subscription permanent identifier，简称SUPI)、用户隐藏标识(subscription concealed identifier，简称SUCI)、临时移动客户识别码(temporary mobile subscriber identifier，简称TMSI)、IP多媒体公共标识(IP multimedia public identity，简称IMPU)、媒体访问控制(media access control，简称MAC)地址、手机号码和全局唯一的临时标识(globally unique temporary UE identity，简称GUTI)中的至少一项，在此不作限制。其中，4G通信系统中的GUTI一般直接称为GUTI，5G通信系统中的GUTI一般称为5G GUTI。PEI为终端的固定标识。SUPI为用户的永久标识。SUCI为对SUPI进行加密后的用户标识。

在上述实施例中，需要说明的是，在一种可能的实现方式中，第一网元为SMF，第二网元为UPF，DN或RAN节点可以确定切换终端的安全传输路径，该情况下，UPF接收到的指示切换终端的安全传输路径的信息可以不是SMF发送的，而是DN或RAN节点发送的。此时，指示切换终端的安全传输路径的信息可以携带在终端的上行数据包或下行数据包中。在另一种可能的实现方式，UPF接收到的第一消息可以不是SMF发送的，而是由AMF发送的。

可选的，第一网元为AMF，第二网元为RAN节点，第一指示信息至少用于指示目标安全终结点，目标安全终结点为UPF，第一消息A还包括UPF的上行隧道端点标识(tunnel endpoint identifier，简称TEID)。该情况下，上述方法还包括：第二网元通过上行TEID指示的隧道向UPF发送属于上述至少一个会话或上述第一会话或上述第一会话的第一业务流的数据，上述至少一个会话、上述第一会话和上述第一会话的第一业务流分别采用上述至少一个会话、上述第一会话和上述第一会话的第一业务流对应的目标安全上下文进行安全保护。

第二网元通过上行TEID指示的隧道向UPF发送的具体是属于哪个/哪些会话或业务流的数据取决于上述实施例中的第一网元确定的切换安全传输路径的会话或业务流。

需要说明的是，在UPF重选场景下，当目标安全终结点为UPF重选完成后的UPF时，RAN节点不知道通过哪条隧道向新的UPF(即UPF重选完成后的UPF)发送数据，该情况下，第一消息A中还可以包括UPF的上行TEID，以便RAN节点向该新的UPF发送数据。

在第一网元为AMF，第二网元为RAN节点的情况下，上述方法还可以包括以下可选方法2至可选方法5。

可选的(记为可选方法2)，上述方法还包括：

305、RAN节点根据第一消息A向终端发送第二消息，第二消息用于指示切换终端的安全传输路径。相应的，终端从RAN节点接收第二消息。

306、终端根据第二消息将终端的至少一个会话的安全上下文从源安全上下文切换至目标安全上下文。

其中，一个会话的源安全上下文为属于该会话的数据在源安全传输路径上传输时终端所使用的安全上下文，一个会话的目标安全上下文为属于该会话的数据在目标安全传输路径上传输时终端所使用的安全上下文。

307、终端根据至少一个会话的目标安全上下文在目标安全传输路径上传输属于至少一个会话的数据。

其中，第二消息可以为一个RRC消息或其他可以传递该第二消息中的信息的空口或非接入层消息。例如，第二消息可以为RRC重配置消息，安全激活消息等。第二消息也可以称为切换请求、安全终结点切换请求、安全传输路径切换请求等，第二消息可以理解为通知安全传输路径切换的消息，消息名根据具体的业务场景可以不同。

步骤306在具体实现时，终端可以从存储的安全上下文中去查找得到至少一个会话的目标安全上下文，也可以自行生成至少一个会话的目标安全上下文。在步骤306之后，终端可以对至少一个会话进行重配置。进一步的，终端在对至少一个会话进行重配置之后，终端可以立即激活至少一个会话的完整性保护和/或加密，也可以在用户面数据正式传输时激活至少一个会话的完整性保护和/或加密，也可以在完成与网络的信令连接方面的通信后激活至少一个会话的完整性保护和/或加密。

在步骤306之后，该方法还可以包括：终端向RAN节点发送第二消息的响应，第二消息的响应用于指示终端完成了安全传输路径的安全上下文的配置。

步骤307在具体实现时，终端可以根据终端的至少一个会话的目标安全上下文对至少一个会话进行安全保护。

可选的(记为可选方法3)，在第一消息A包括第一指示信息的情况下，第二消息包括第一指示信息。该情况下，上述方法还包括：

在第一指示信息用于指示源安全传输路径的情况下，终端根据第二消息中的第一指示信息确定源安全传输路径；或者，

在第一指示信息用于指示目标安全传输路径的情况下，终端根据第二消息中的第一指示信息确定目标安全传输路径；或者，

在第一指示信息用于指示源安全传输路径和目标安全传输路径的情况下，终端根据第二消息中的第一指示信息确定源安全传输路径和目标安全传输路径；或者，

在第一指示信息用于指示源安全终结点的情况下，终端根据第二消息中的第一指示信息确定源安全终结点；或者，

在第一指示信息用于指示目标安全终结点的情况下，终端根据第二消息中的第一指示信息确定目标安全终结点；或者，

在第一指示信息用于指示源安全终结点和目标安全终结点的情况下，终端根据第二消息中的第一指示信息确定源安全终结点和目标安全终结点。

关于第一指示信息的指示方式，可参见上文中的相应部分，在此不再赘述。

可选的(记为可选方法4)，在第一消息A还包括第一会话的标识的情况下，第二消息还包括第一会话的标识，第二消息具体用于指示切换终端的第一会话的安全传输路径。该情况下，上述至少一个会话为第一会话。

关于会话的标识的相关描述可参见上文，在此不再赘述。

一个会话可以包括一个或多个业务流，在终端中，一个会话可以对应一个UE-RAN安全上下文和一个UE-UPF安全上下文。该情况下，以会话为PDU会话，业务流为Qos流，终端的安全传输路径从UE-RAN安全传输路径切换至UE-UPF安全传输路径为例，参见表3。若第一会话为PDU会话1，则终端可以将PDU会话1的安全上下文从UE-RAN安全上下文1切换至UE-UPF安全上下文1，并采用UE-UPF安全上下文1对PDU会话1进行安全保护。若第一会话为PDU会话2和PDU会话3，则终端可以将PDU会话2的 安全上下文从UE-RAN安全上下文2切换至UE-UPF安全上下文2，将PDU会话3的安全上下文从UE-RAN安全上下文3切换至UE-UPF安全上下文3,并采用UE-UPF安全上下文2和UE-UPF安全上下文3分别对PDU会话2和PDU会话3进行安全保护。

表3

可选的(记为可选方法5)，在第一消息A还包括第一会话的第一业务流的标识的情况下，第二消息还包括第一会话的第一业务流的标识，第二消息具体用于指示切换第一业务流的安全传输路径。

该情况下，步骤306在具体实现时，可以包括：终端根据第二消息将第一会话的第一业务流的安全上下文从源安全上下文切换至目标安全上下文；一个业务流的源安全上下文为属于该业务流的数据在源安全传输路径上传输时终端所使用的安全上下文，一个业务流的目标安全上下文为属于该业务流的数据在目标安全传输路径上传输时终端所使用的安全上下文。步骤307在具体实现时，可以包括：终端根据第一会话的第一业务流的目标安全上下文在目标安全传输路径上传输属于第一会话的第一业务流的数据。

在步骤306之后，终端可以对第一会话的第一业务流进行重配置。进一步的，终端在对第一会话的第一业务流进行重配置之后，终端可以立即激活第一会话的第一业务流的完整性保护和/或加密，也可以在用户面数据正式传输时激活第一会话的第一业务流的完整性保护和/或加密，也可以在完成与网络的信令连接方面的通信后激活第一会话的第一业务流的完整性保护和/或加密。

在终端中，一个会话的所有业务流可以对应一个安全上下文。该情况下，以会话为PDU会话，业务流为Qos流，终端的安全传输路径从UE-RAN安全传输路径切换至UE-UPF安全传输路径为例，参见表3。若第一会话为PDU会话1，第一会话的第一业务流为PDU会话1的Qos流1，则终端可以将PDU会话1的Qos流1的安全上下文从UE-RAN安全上下文1切换至UE-UPF安全上下文1，并采用UE-UPF安全上下文1对PDU会话1的Qos流1进行安全保护。若第一会话为PDU会话2和PDU会话3，第一会话的第一业务流为PDU会话2的Qos流2和PDU会话3的Qos流1，则终端可以将PDU会话2的Qos流2的安全上下文从UE-RAN安全上下文2切换至UE-UPF安全上下文2，将PDU会话3的Qos流1的安全上下文从UE-RAN安全上下文3切换至UE-UPF安全上下文3,并采用UE-UPF安全上下文2和UE-UPF安全上下文3分别对PDU会话2的Qos流2和PDU会话3的Qos流1进行安全保护。

在终端中，一个会话的多个业务流也可以各自对应一个安全上下文。该情况下，以会话为PDU会话，业务流为Qos流，终端的安全传输路径从UE-RAN安全传输路径切换至UE-UPF安全传输路径为例，参见表4。若第一会话为PDU会话1，第一会话的第 一业务流为PDU会话1的Qos流1，则终端可以将PDU会话1的Qos流1的安全上下文从UE-RAN安全上下文1切换至UE-UPF安全上下文1，并采用UE-UPF安全上下文1对PDU会话1的Qos流1进行安全保护。若第一会话为PDU会话2和PDU会话3，第一会话的第一业务流为PDU会话2的Qos流2和PDU会话3的Qos流1，则终端可以将PDU会话2的Qos流2的安全上下文从UE-RAN安全上下文4切换至UE-UPF安全上下文4，将PDU会话3的Qos流1的安全上下文从UE-RAN安全上下文5切换至UE-UPF安全上下文5,并采用UE-UPF安全上下文4和UE-UPF安全上下文5分别对PDU会话2的Qos流2和PDU会话3的Qos流1进行安全保护。

表4

经过上述实施例提供的方法，终端和RAN节点(或UPF)可以采用正确的安全上下文对属于会话的数据进行安全保护。

在本申请实施例提供的方法执行在UPF重选的场景中时，若终端切换安全传输路径是从UE-RAN安全传输路径切换至UE-UPF安全传输路径，则上述第二网元可以为UPF重选后的UPF，则UPF重选之前的UPF可以释放需要进行安全传输路径切换的会话。

需要说明的是，本申请实施例提供的方法也可以直接应用于业务流，该情况下，上述实施例中的“会话”可以替换为“业务流”，上述可选方法1和可选方法5不需要执行。

为了使得上述实施例更加的清楚，以下通过一个具体的示例对上述实施例的实现流程作示例性说明。该示例以UPF重选场景下将终端的第一会话的安全传输路径从UE-RAN安全传输路径切换至UE-UPF安全传输路径为例进行说明。参见图7，该流程包括：

701、AMF确定终端的第一会话的安全传输路径从UE-RAN安全传输路径切换至UE-UPF安全传输路径。

702、AMF向SMF发送第二指示信息，第二指示信息用于指示终端的第一会话的安全传输路径从UE-RAN安全传输路径切换至UE-UPF安全传输路径。相应的，SMF从AMF接收第二指示信息。

703、SMF进行UPF选择。

在步骤703之前，SMF可以确定重选UPF，重选之前的UPF记为UPF1，重选之后的UPF记为UPF2。示例性的，若终端已经不在RAN节点连接的UPF1的服务范围内，SMF会选择一个新的UPF(即UPF2)或者PDU会话锚点(PDU Session Anchor，简称PSA)为终端服务。

其中，SMF可以根据UPF选择规则(UPF selection criteria)来选择UPF。UPF选择规则至少包括：所选择UPF支持UE-UPF安全传输路径。

704、SMF根据第二指示信息确定终端的第一会话的安全传输路径从UE-RAN安全传输路径切换至UE-UPF安全传输路径。

步骤703和步骤704的执行顺序不分先后。

在步骤704之后，SMF可以通知UPF1释放第一会话。示例性的，SMF向UPF1发送N4会话修改请求，UPF1根据N4会话修改请求释放第一会话之后，向SMF发送N4会话修改响应(N4 Session Modification Response)。N4会话修改响应用于指示UPF1释放第一会话完毕。

705、SMF向UPF2发送第一消息B，第一消息B用于指示将终端的第一会话的安全传输路径从UE-RAN安全传输路径切换至UE-UPF安全传输路径。相应的，UPF2从SMF接收第一消息B。

其中，第一消息B中可以包括第一会话的标识，还可以包括第一指示信息。

706、UPF2根据第一消息B获取第一会话的安全上下文，并采用第一会话的安全上下文对第一会话进行安全保护。

707、AMF向RAN节点发送第一消息A，第一消息A用于指示将终端的第一会话的安全传输路径从UE-RAN安全传输路径切换至UE-UPF安全传输路径。相应的，RAN节点从AMF接收第一消息A。

其中，第一消息A中可以包括第一会话的标识和第一指示信息。

708、RAN节点根据第一消息A删除第一会话的安全上下文。

709、RAN节点根据第一消息A向终端发送第二消息，第二消息用于指示将终端的第一会话的安全传输路径从UE-RAN安全传输路径切换至UE-UPF安全传输路径。相应的，终端从RAN节点接收第二消息。

其中，第二消息中可以包括第一会话的标识和第一指示信息。

710、终端根据第二消息将第一会话的安全上下文从源安全上下文切换至目标安全上下文。

711、终端根据第一会话的目标安全上下文传输属于第一会话的数据。

在图7所示的实施例中，若UPF之间有接口，也可以由UPF1确定重选UPF。此时，UPF1进行UPF选择，并向SMF和选择出的UPF2发送重选指示，该重选指示用于指示UPF被重选至UPF2。该情况下，步骤703可以不执行，UPF1可以自行释放会话，而不依赖于SMF发送的N4会话修改请求。

需要说明的是，本申请上述实施例中的第一消息和第二消息中的任意一个消息中包含的不同的信息也可以携带在不同的消息中，本申请实施例对此不作具体限定。

上述主要从各个网元之间交互的角度对本申请实施例的方案进行了介绍。可以理解的是，各个网元，例如，移动性管理网元、会话管理网元、终端、接入网节点或用户面网元等为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对移动性管理网元、会话管理网元、终端、接入网节点或用户面网元等进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用集成的单元的情况下，图8示出了上述实施例中所涉及的切换传输路径的装置(记为切换传输路径的装置80)的一种可能的结构示意图，该切换传输路径的装置80包括处理单元801和通信单元802，还可以包括存储单元803。图8所示的结构示意图可以用于示意上述实施例中所涉及的移动性管理网元、会话管理网元、终端、接入网节点或用户面网元的结构。

当图8所示的结构示意图用于示意上述实施例中所涉及的移动性管理网元(例如，AMF)的结构时，处理单元801用于对移动性管理网元的动作进行控制管理。例如，处理单元801用于支持移动性管理网元执行图3和图4中的步骤300a、步骤301a和步骤302a，图5和图6中的步骤301a、步骤300b和步骤302a，图7中的步骤701、步骤702和步骤707，和/或本申请实施例中所描述的其他过程中的移动性管理网元执行的动作。处理单元801可以通过通信单元802与其他网络实体通信，例如，与图3中示出的会话管理网元(即SMF)之间的通信。存储单元803用于存储移动性管理网元的程序代码和数据。

当图8所示的结构示意图用于示意上述实施例中所涉及的移动性管理网元的结构时，切换传输路径的装置80可以是移动性管理网元，也可以是移动性管理网元内的芯片。

当图8所示的结构示意图用于示意上述实施例中所涉及的会话管理网元(例如，SMF)的结构时，处理单元801用于对会话管理网元的动作进行控制管理。例如，处理单元801用于支持会话管理网元执行图3和图4中的步骤301b、步骤300a和步骤302b，图5和图6中的步骤300b、步骤301b和步骤302b，图7中的步骤702至步骤705，和/或本申请实施例中所描述的其他过程中的会话管理网元执行的动作。处理单元801可以通过通信单元802与其他网络实体通信，例如，与图3中示出的移动性管理网元(即AMF)之间的通信。存储单元803用于存储会话管理网元的程序代码和数据。

当图8所示的结构示意图用于示意上述实施例中所涉及的会话管理网元的结构时，切换传输路径的装置80可以是会话管理网元，也可以是会话管理网元内的芯片。

当图8所示的结构示意图用于示意上述实施例中所涉及的用户面网关(例如，图3至图6中的UPF，图7中的UPF2)的结构时，处理单元801用于对用户面网关的动作进行控制管理。例如，处理单元801用于支持用户面网关执行图3和图5中的步骤302b和步骤304b，图4和图6中的步骤302b和步骤303b，图7中的步骤705和步骤706，和/或本申请实施例中所描述的其他过程中的用户面网关执行的动作。处理单元801可以通过通信单元802与其他网络实体通信，例如，与图7中示出的会话管理网元(即SMF)之间的通信。存储单元803用于存储用户面网关的程序代码和数据。

当图8所示的结构示意图用于示意上述实施例中所涉及的用户面网关的结构时， 切换传输路径的装置80可以是用户面网关，也可以是用户面网关内的芯片。

当图8所示的结构示意图用于示意上述实施例中所涉及的接入网节点(例如，RAN节点)的结构时，处理单元801用于对接入网节点的动作进行控制管理。例如，处理单元801用于支持接入网节点执行图3和图5中的步骤302a、步骤303a和步骤305，图4和图6中的步骤302a、步骤304a和步骤305，图7中的步骤707至步骤709，和/或本申请实施例中所描述的其他过程中的接入网节点执行的动作。处理单元801可以通过通信单元802与其他网络实体通信，例如，与图7中示出的终端之间的通信。存储单元803用于存储接入网节点的程序代码和数据。

当图8所示的结构示意图用于示意上述实施例中所涉及的接入网节点的结构时，切换传输路径的装置80可以是接入网节点，也可以是接入网节点内的芯片。

当图8所示的结构示意图用于示意上述实施例中所涉及的终端的结构时，处理单元801用于对终端的动作进行控制管理。例如，处理单元801用于支持终端执行图3至图6中的步骤305、步骤306和步骤307，图7中的步骤709至步骤711，和/或本申请实施例中所描述的其他过程中的终端执行的动作。处理单元801可以通过通信单元802与其他网络实体通信，例如，与图7中示出的接入网节点(即RAN节点)之间的通信。存储单元803用于存储终端的程序代码和数据。

当图8所示的结构示意图用于示意上述实施例中所涉及的终端的结构时，切换传输路径的装置80可以是终端，也可以是终端内的芯片。

其中，通信单元也可以称为收发单元。切换传输路径的装置80中的具有收发功能的天线和控制电路可以视为切换传输路径的装置80的通信单元802，具有处理功能的处理器可以视为切换传输路径的装置80的处理单元801。可选的，通信单元802中用于实现接收功能的器件可以视为接收单元，接收单元用于执行本申请实施例中的接收的步骤，接收单元可以为接收机、接收器、接收电路等。通信单元802中用于实现发送功能的器件可以视为发送单元，发送单元用于执行本申请实施例中的发送的步骤，发送单元可以为发送机、发送器、发送电路等。

图8中的集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。存储计算机软件产品的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，简称ROM)、随机存取存储器(random access memory，简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请实施例中的单元也可以称为模块，例如，处理单元可以称为处理模块。

图9所示为本申请实施例提供的切换传输路径的装置的硬件结构示意图，该切换传输路径的装置可以为本文中的移动性管理网元、会话管理网元、终端、接入网节点或用户面网元。该切换传输路径的装置90包括至少一个处理器901，通信总线902以及至少一个通信接口904。可选的，还包括存储器903。图9中以切换传输路径的装置 90包括一个处理器901和一个通信接口904为例进行绘制。

处理器901、通信接口904和存储器903之间可以通过通信总线902连接实现互相通信，传递控制和/或数据信号，该存储器903用于存储计算机程序，该处理器901用于从该存储器903中调用并运行该计算机程序，以控制该通信接口904收发信号。

在第一种可能的实现方式中，处理器901可以是一个通用中央处理器(central processing unit，简称CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，简称ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。通信接口904，可以为任何收发器一类的装置。

在第二种可能的实现方式中，处理器901可以为逻辑电路，通信接口904可以包括输入接口和输出接口。

存储器903可以是ROM或可存储静态信息和指令的其他类型的静态存储设备，RAM或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，简称EEPROM)、只读光盘(compact disc read-only memory，简称CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信总线902与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器903用于存储执行本申请方案的计算机执行指令，并由处理器901来控制执行。处理器901用于执行存储器903中存储的计算机执行指令，从而实现本申请上述实施例提供的方法。

可选的，本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。

当图9所示的结构示意图用于示意上述实施例中所涉及的移动性管理网元(例如，AMF)的结构时，处理器901用于对移动性管理网元的动作进行控制管理。例如，处理器901用于支持移动性管理网元执行图3和图4中的步骤300a、步骤301a和步骤302a，图5和图6中的步骤301a、步骤300b和步骤302a，图7中的步骤701、步骤702和步骤707，和/或本申请实施例中所描述的其他过程中的移动性管理网元执行的动作。处理器901可以通过通信接口904与其他网络实体通信，例如，与图3中示出的会话管理网元(即SMF)之间的通信。存储器903用于存储移动性管理网元的程序代码和数据。

当图9所示的结构示意图用于示意上述实施例中所涉及的会话管理网元(例如，SMF)的结构时，处理器901用于对会话管理网元的动作进行控制管理。例如，处理器901用于支持会话管理网元执行图3和图4中的步骤301b、步骤300a和步骤302b，图5和图6中的步骤300b、步骤301b和步骤302b，图7中的步骤702至步骤705，和/或本申请实施例中所描述的其他过程中的会话管理网元执行的动作。处理器901可以通过通信接口904与其他网络实体通信，例如，与图3中示出的移动性管理网元(即AMF)之间的通信。存储器903用于存储会话管理网元的程序代码和数据。

当图9所示的结构示意图用于示意上述实施例中所涉及的用户面网关(例如，图 3至图6中的UPF，图7中的UPF2)的结构时，处理器901用于对用户面网关的动作进行控制管理，例如，处理器901用于支持用户面网关执行图3和图5中的步骤302b和步骤304b，图4和图6中的步骤302b和步骤303b，图7中的步骤705和步骤706，和/或本申请实施例中所描述的其他过程中的用户面网关执行的动作。处理器901可以通过通信接口904与其他网络实体通信，例如，与图7中示出的会话管理网元(即SMF)之间的通信。存储器903用于存储用户面网关的程序代码和数据。

当图9所示的结构示意图用于示意上述实施例中所涉及的接入网节点(例如，RAN节点)的结构时，处理器901用于对接入网节点的动作进行控制管理，例如，处理器901用于支持接入网节点执行图3和图5中的步骤302a、步骤303a和步骤305，图4和图6中的步骤302a、步骤304a和步骤305，图7中的步骤707至步骤709，和/或本申请实施例中所描述的其他过程中的接入网节点执行的动作。处理器901可以通过通信接口904与其他网络实体通信，例如，与图7中示出的终端之间的通信。存储器903用于存储接入网节点的程序代码和数据。

当图9所示的结构示意图用于示意上述实施例中所涉及的终端的结构时，处理器901用于对终端的动作进行控制管理，例如，处理器901用于支持终端执行图3至图6中的步骤305、步骤306和步骤307，图7中的步骤709至步骤711，和/或本申请实施例中所描述的其他过程中的终端执行的动作。处理器901可以通过通信接口904与其他网络实体通信，例如，与图7中示出的接入网节点(即RAN节点)之间的通信。存储器903用于存储终端的程序代码和数据。

本申请实施例还提供了一种终端(记为终端100)和接入网节点(记为接入网节点110)的硬件结构示意图。具体可参见图10。

终端100包括至少一个处理器1001和至少一个收发器1003。可选的，还包括至少一个存储器1002。可选的，终端100还包括至少一个天线1004。可选的，终端100还包括输出设备1005和/或输入设备1006。

处理器1001用于对终端的动作进行控制管理，例如，处理器1001用于支持终端执行图3至图6中的步骤305、步骤306和步骤307，图7中的步骤709至步骤711，和/或本申请实施例中所描述的其他过程中的终端执行的动作。处理器1001可以通过收发器1003与其他网络实体通信，例如，与图7中示出的RAN节点之间的通信。存储器1002用于存储终端的程序代码和数据。

关于处理器1001和存储器1002的其他描述可分别参见处理器901和存储器903的描述，在此不再赘述。收发器1003与通信接口904的功能类似，收发器1003的描述可参见通信接口904的描述，在此不再赘述。

输出设备1005和处理器1001通信，可以以多种方式来显示信息。例如，输出设备1005可以是液晶显示器(liquid crystal display，简称LCD)，发光二级管(light emitting diode，简称LED)显示设备，阴极射线管(cathode ray tube，简称CRT)显示设备，或投影仪(projector)等。输入设备1006和处理器1001通信，可以以多种方式接收用户的输入。例如，输入设备1006可以是鼠标、键盘、触摸屏设备或传感设备等。

可选的，收发器1003可以包括发射机10031和接收机10032。收发器1003中用 于实现接收功能的器件可以视为接收机10032，接收机10032用于执行本申请实施例中的接收的步骤。收发器1003中用于实现发送功能的器件可以视为发射机10031，发射机10031用于执行本申请实施例中的发送的步骤。

接入网节点110包括至少一个处理器1101和至少一个收发器1103。可选的，还包括至少一个存储器1102。可选的，接入网节点110还包括至少一个天线1104。

处理器1101用于对接入网节点的动作进行控制管理，例如，处理器1101用于支持接入网节点执行图3和图5中的步骤302a、步骤303a和步骤305，图4和图6中的步骤302a、步骤304a和步骤305，图7中的步骤707至步骤709，和/或本申请实施例中所描述的其他过程中的接入网节点执行的动作。处理器1101可以通过收发器1103与其他网络实体通信，例如，与图7中示出的终端之间的通信。存储器1102用于存储接入网节点的程序代码和数据。

处理器1101、存储器1102和收发器1103通过通信总线1102相连接。关于处理器1101和存储器1102的其他描述可分别参见处理器901和存储器903的描述，在此不再赘述。收发器1103与通信接口904的功能类似，收发器1103的描述可参见通信接口904的描述，在此不再赘述。

可选的，收发器1103可以包括发射机11031和接收机11032。收发器1103中用于实现接收功能的器件可以视为接收机11032，接收机11032用于执行本申请实施例中的接收的步骤。收发器1103中用于实现发送功能的器件可以视为发射机11031，发射机11031用于执行本申请实施例中的发送的步骤。

可选的，处理器(例如，处理器901、处理器1101或处理器1001)可以包括基带处理器和中央处理器，基带处理器主要用于对通信协议以及通信数据进行处理，中央处理器主要用于对整个设备进行控制，执行软件程序，处理软件程序的数据。处理器集成了基带处理器和中央处理器的功能，本领域技术人员可以理解，基带处理器和中央处理器也可以是各自独立的处理器，通过总线等技术互联。基带处理器也可以表述为基带处理电路或者基带处理芯片。该中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中，也可以以软件程序的形式存储在存储单元中，由处理器执行软件程序以实现基带处理功能。

本申请实施例还提供了一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行上述任一方法。

本申请实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一方法。

本申请实施例还提供了一种装置，该装置以芯片的产品形态存在，该装置包括处理器、存储器和收发组件，收发组件包括输入输出电路，存储器用于存储计算机执行指令，处理器通过执行存储器中存储的计算机执行指令实现上述任一方法。该情况下，执行本申请实施例提供的方法的执行主体可以为芯片。

本申请实施例还提供了一种通信系统，包括：上述移动性管理网元、会话管理网元、终端、接入网节点和用户面网元。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该 计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，简称DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，简称SSD))等。

尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看附图、公开内容、以及所附权利要求书，可理解并实现公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (34)

1. 一种切换传输路径的方法，其特征在于，包括：

   终端从接入网节点接收第二消息，所述第二消息用于指示切换所述终端的安全传输路径，所述终端的安全传输路径包括第一安全传输路径和第二安全传输路径，所述第一安全传输路径是安全终结点为接入网节点和所述终端的用户面传输路径，所述第二安全传输路径是安全终结点为用户面网关和所述终端的用户面传输路径，所述安全终结点为对所述终端的用户面数据进行安全保护的节点；

   所述终端根据所述第二消息将所述终端的至少一个会话的安全上下文从源安全上下文切换至目标安全上下文，一个会话的源安全上下文为属于该会话的数据在源安全传输路径上传输时所述终端所使用的安全上下文，一个会话的目标安全上下文为属于该会话的数据在目标安全传输路径上传输时所述终端所使用的安全上下文；所述源安全传输路径为切换所述终端的安全传输路径之前所述终端的安全传输路径；所述目标安全传输路径为切换所述终端的安全传输路径之后所述终端的安全传输路径；

   所述终端根据所述至少一个会话的目标安全上下文在所述目标安全传输路径上传输属于所述至少一个会话的数据。
2. 根据权利要求1所述的方法，其特征在于，所述第二消息中包括第一指示信息；所述第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，所述第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，所述源安全终结点为所述源安全传输路径的安全终结点；所述目标安全终结点为所述目标安全传输路径的安全终结点，所述源安全终结点和所述目标安全终结点中一个为所述接入网节点，另一个为所述用户面网关，所述方法还包括：

   在所述第一指示信息用于指示所述源安全传输路径的情况下，所述终端根据所述第二消息中的第一指示信息确定所述源安全传输路径；或者，

   在所述第一指示信息用于指示所述目标安全传输路径的情况下，所述终端根据所述第二消息中的第一指示信息确定所述目标安全传输路径；或者，

   在所述第一指示信息用于指示所述源安全传输路径和所述目标安全传输路径的情况下，所述终端根据所述第二消息中的第一指示信息确定所述源安全传输路径和所述目标安全传输路径；或者，

   在所述第一指示信息用于指示所述源安全终结点的情况下，所述终端根据所述第二消息中的第一指示信息确定所述源安全终结点；或者，

   在所述第一指示信息用于指示所述目标安全终结点的情况下，所述终端根据所述第二消息中的第一指示信息确定所述目标安全终结点；或者，

   在所述第一指示信息用于指示所述源安全终结点和所述目标安全终结点的情况下，所述终端根据所述第二消息中的第一指示信息确定所述源安全终结点和所述目标安全终结点。
3. 根据权利要求1或2所述的方法，其特征在于，所述第二消息还包括第一会话的标识，所述第二消息具体用于指示切换所述终端的所述第一会话的安全传输路径，所述至少一个会话为所述第一会话。
4. 根据权利要求3所述的方法，其特征在于，所述第二消息还包括所述第一会话 的第一业务流的标识，所述第二消息具体用于指示切换所述终端的所述第一会话的所述第一业务流的安全传输路径；

   所述终端根据所述第二消息将所述终端的至少一个会话的安全上下文从源安全上下文切换至目标安全上下文，包括：所述终端根据所述第二消息将所述第一会话的所述第一业务流的安全上下文从源安全上下文切换至目标安全上下文；一个业务流的源安全上下文为属于该业务流的数据在源安全传输路径上传输时所述终端所使用的安全上下文，一个业务流的目标安全上下文为属于该业务流的数据在目标安全传输路径上传输时所述终端所使用的安全上下文；

   所述终端根据所述至少一个会话的目标安全上下文在所述目标安全传输路径上传输属于所述至少一个会话的数据，包括：所述终端根据所述第一会话的所述第一业务流的目标安全上下文在所述目标安全传输路径上传输属于所述第一会话的所述第一业务流的数据。
5. 一种切换传输路径的方法，其特征在于，包括：

   第一网元确定切换终端的安全传输路径，所述终端的安全传输路径包括第一安全传输路径和第二安全传输路径，所述第一安全传输路径是安全终结点为接入网节点和所述终端的用户面传输路径，所述第二安全传输路径是安全终结点为用户面网关和所述终端的用户面传输路径，所述安全终结点为对所述终端的用户面数据进行安全保护的节点；

   所述第一网元向第二网元发送第一消息，所述第一消息用于指示切换所述终端的安全传输路径；

   其中，所述第一网元为移动性管理网元，所述第二网元为所述接入网节点；或者，所述第一网元为会话管理网元，所述第二网元为所述用户面网关。
6. 根据权利要求5所述的方法，其特征在于，所述第一消息包括第一指示信息；所述第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，所述第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，所述源安全传输路径为切换所述终端的安全传输路径之前所述终端的安全传输路径；所述目标安全传输路径为切换所述终端的安全传输路径之后所述终端的安全传输路径；所述源安全终结点为所述源安全传输路径的安全终结点；所述目标安全终结点为所述目标安全传输路径的安全终结点，所述源安全终结点和所述目标安全终结点中一个为所述接入网节点，另一个为所述用户面网关。
7. 根据权利要求5或6所述的方法，其特征在于，所述第一消息还包括第一会话的标识，所述第一消息具体用于指示切换所述终端的所述第一会话的安全传输路径。
8. 根据权利要求7所述的方法，其特征在于，所述第一消息还包括所述第一会话的第一业务流的标识，所述第一消息具体用于指示切换所述第一业务流的安全传输路径。
9. 一种切换传输路径的方法，其特征在于，包括：

   第二网元从第一网元接收第一消息，所述第一消息用于指示切换终端的安全传输路径，所述终端的安全传输路径包括第一安全传输路径和第二安全传输路径，所述第一安全传输路径是安全终结点为接入网节点和所述终端的用户面传输路径，所述第二 安全传输路径是安全终结点为用户面网关和所述终端的用户面传输路径，所述安全终结点为对所述终端的用户面数据进行安全保护的节点；其中，所述第一网元为移动性管理网元，所述第二网元为所述接入网节点；或者，所述第一网元为会话管理网元，所述第二网元为所述用户面网关；

   在目标安全传输路径的安全终结点包括所述第二网元的情况下，所述第二网元根据所述第一消息获取所述终端的至少一个会话的安全上下文，并采用所述至少一个会话的安全上下文对所述至少一个会话进行安全保护；其中，所述至少一个会话为从源安全传输路径切换到所述目标安全传输路径的会话，所述源安全传输路径为切换所述终端的安全传输路径之前所述终端的安全传输路径；所述目标安全传输路径为切换所述终端的安全传输路径之后所述终端的安全传输路径。
10. 根据权利要求9所述的方法，其特征在于，所述第一消息包括第一指示信息；所述第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，所述第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，所述源安全终结点为所述源安全传输路径的安全终结点；所述目标安全终结点为所述目标安全传输路径的安全终结点，所述源安全终结点和所述目标安全终结点中一个为所述接入网节点，另一个为所述用户面网关，所述方法还包括：

    在所述第一指示信息用于指示所述源安全传输路径的情况下，所述第二网元根据所述第一消息中的第一指示信息确定所述源安全传输路径；或者，

    在所述第一指示信息用于指示所述目标安全传输路径的情况下，所述第二网元根据所述第一消息中的第一指示信息确定所述目标安全传输路径；或者，

    在所述第一指示信息用于指示所述源安全传输路径和所述目标安全传输路径的情况下，所述第二网元根据所述第一消息中的第一指示信息确定所述源安全传输路径和所述目标安全传输路径；或者，

    在所述第一指示信息用于指示所述源安全终结点的情况下，所述第二网元根据所述第一消息中的第一指示信息确定所述源安全终结点；或者，

    在所述第一指示信息用于指示所述目标安全终结点的情况下，所述第二网元根据所述第一消息中的第一指示信息确定所述目标安全终结点；或者，

    在所述第一指示信息用于指示所述源安全终结点和所述目标安全终结点的情况下，所述第二网元根据所述第一消息中的第一指示信息确定所述源安全终结点和所述目标安全终结点。
11. 根据权利要求9或10所述的方法，其特征在于，所述第一消息还包括第一会话的标识，所述第一消息具体用于指示切换所述终端的所述第一会话的安全传输路径，所述至少一个会话为所述第一会话。
12. 根据权利要求11所述的方法，其特征在于，所述第一消息还包括所述第一会话的第一业务流的标识，所述第一消息具体用于指示切换所述终端的所述第一会话的所述第一业务流的安全传输路径；

    所述第二网元根据所述第一消息获取所述终端的至少一个会话的安全上下文，包括：所述第二网元根据所述第一消息获取所述第一会话的所述第一业务流的安全上下文。
13. 根据权利要求9-12任一项所述的方法，其特征在于，所述第二网元为所述接入网节点，所述方法还包括：

    所述第二网元根据所述第一消息向所述终端发送第二消息，所述第二消息用于指示切换所述终端的安全传输路径。
14. 根据权利要求13所述的方法，其特征在于，在所述第一消息包括所述第一指示信息的情况下，所述第二消息包括所述第一指示信息。
15. 根据权利要求13或14所述的方法，其特征在于，在所述第一消息还包括所述第一会话的标识的情况下，所述第二消息还包括所述第一会话的标识，所述第二消息具体用于指示切换所述终端的所述第一会话的安全传输路径。
16. 根据权利要求13-15任一项所述的方法，其特征在于，在所述第一消息还包括所述第一会话的第一业务流的标识的情况下，所述第二消息还包括所述第一会话的第一业务流的标识，所述第二消息具体用于指示切换所述第一业务流的安全传输路径。
17. 一种切换传输路径的装置，其特征在于，包括：通信单元和处理单元；

    所述通信单元，用于从接入网节点接收第二消息，所述第二消息用于指示切换所述切换传输路径的装置的安全传输路径，所述切换传输路径的装置的安全传输路径包括第一安全传输路径和第二安全传输路径，所述第一安全传输路径是安全终结点为接入网节点和所述切换传输路径的装置的用户面传输路径，所述第二安全传输路径是安全终结点为用户面网关和所述切换传输路径的装置的用户面传输路径，所述安全终结点为对所述切换传输路径的装置的用户面数据进行安全保护的节点；

    所述处理单元，用于根据所述第二消息将所述切换传输路径的装置的至少一个会话的安全上下文从源安全上下文切换至目标安全上下文，一个会话的源安全上下文为属于该会话的数据在源安全传输路径上传输时所述切换传输路径的装置所使用的安全上下文，一个会话的目标安全上下文为属于该会话的数据在目标安全传输路径上传输时所述切换传输路径的装置所使用的安全上下文；所述源安全传输路径为切换所述切换传输路径的装置的安全传输路径之前所述切换传输路径的装置的安全传输路径；所述目标安全传输路径为切换所述切换传输路径的装置的安全传输路径之后所述切换传输路径的装置的安全传输路径；

    所述处理单元，还用于根据所述至少一个会话的目标安全上下文在所述目标安全传输路径上传输属于所述至少一个会话的数据。
18. 根据权利要求17所述的装置，其特征在于，所述第二消息中包括第一指示信息；所述第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，所述第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，所述源安全终结点为所述源安全传输路径的安全终结点；所述目标安全终结点为所述目标安全传输路径的安全终结点，所述源安全终结点和所述目标安全终结点中一个为所述接入网节点，另一个为所述用户面网关；

    在所述第一指示信息用于指示所述源安全传输路径的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述源安全传输路径；或者，

    在所述第一指示信息用于指示所述目标安全传输路径的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述目标安全传输路径；或者，

    在所述第一指示信息用于指示所述源安全传输路径和所述目标安全传输路径的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述源安全传输路径和所述目标安全传输路径；或者，

    在所述第一指示信息用于指示所述源安全终结点的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述源安全终结点；或者，

    在所述第一指示信息用于指示所述目标安全终结点的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述目标安全终结点；或者，

    在所述第一指示信息用于指示所述源安全终结点和所述目标安全终结点的情况下，所述处理单元，还用于根据所述第二消息中的第一指示信息确定所述源安全终结点和所述目标安全终结点。
19. 根据权利要求17或18所述的装置，其特征在于，所述第二消息还包括第一会话的标识，所述第二消息具体用于指示切换所述切换传输路径的装置的所述第一会话的安全传输路径，所述至少一个会话为所述第一会话。
20. 根据权利要求19所述的装置，其特征在于，所述第二消息还包括所述第一会话的第一业务流的标识，所述第二消息具体用于指示切换所述切换传输路径的装置的所述第一会话的所述第一业务流的安全传输路径；

    所述处理单元，具体用于：根据所述第二消息将所述第一会话的所述第一业务流的安全上下文从源安全上下文切换至目标安全上下文；一个业务流的源安全上下文为属于该业务流的数据在源安全传输路径上传输时所述切换传输路径的装置所使用的安全上下文，一个业务流的目标安全上下文为属于该业务流的数据在目标安全传输路径上传输时所述切换传输路径的装置所使用的安全上下文；

    所述处理单元，具体用于：根据所述第一会话的所述第一业务流的目标安全上下文在所述目标安全传输路径上传输属于所述第一会话的所述第一业务流的数据。
21. 一种切换传输路径的装置，其特征在于，包括：通信单元和处理单元；

    所述处理单元，用于确定切换终端的安全传输路径，所述终端的安全传输路径包括第一安全传输路径和第二安全传输路径，所述第一安全传输路径是安全终结点为接入网节点和所述终端的用户面传输路径，所述第二安全传输路径是安全终结点为用户面网关和所述终端的用户面传输路径，所述安全终结点为对所述终端的用户面数据进行安全保护的节点；

    所述通信单元，用于向第二网元发送第一消息，所述第一消息用于指示切换所述终端的安全传输路径；

    其中，所述切换传输路径的装置为移动性管理网元，所述第二网元为所述接入网节点；或者，所述切换传输路径的装置为会话管理网元，所述第二网元为所述用户面网关。
22. 根据权利要求21所述的装置，其特征在于，所述第一消息包括第一指示信息；所述第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，所述第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，所述源安全传输路径为切换所述终端的安全传输路径之前所述终端的安全传输路径；所述目标安全传输路径为切换所述终端的安全传输路径之后所述终端的安全传输路径；所述源安全终结点为 所述源安全传输路径的安全终结点；所述目标安全终结点为所述目标安全传输路径的安全终结点，所述源安全终结点和所述目标安全终结点中一个为所述接入网节点，另一个为所述用户面网关。
23. 根据权利要求21或22所述的装置，其特征在于，所述第一消息还包括第一会话的标识，所述第一消息具体用于指示切换所述终端的所述第一会话的安全传输路径。
24. 根据权利要求23所述的装置，其特征在于，所述第一消息还包括所述第一会话的第一业务流的标识，所述第一消息具体用于指示切换所述第一业务流的安全传输路径。
25. 一种切换传输路径的装置，其特征在于，包括：通信单元和处理单元；

    所述通信单元，用于从第一网元接收第一消息，所述第一消息用于指示切换终端的安全传输路径，所述终端的安全传输路径包括第一安全传输路径和第二安全传输路径，所述第一安全传输路径是安全终结点为接入网节点和所述终端的用户面传输路径，所述第二安全传输路径是安全终结点为用户面网关和所述终端的用户面传输路径，所述安全终结点为对所述终端的用户面数据进行安全保护的节点；其中，所述第一网元为移动性管理网元，所述切换传输路径的装置为所述接入网节点；或者，所述第一网元为会话管理网元，所述切换传输路径的装置为所述用户面网关；

    在目标安全传输路径的安全终结点包括所述切换传输路径的装置的情况下，所述处理单元，用于根据所述第一消息获取所述终端的至少一个会话的安全上下文，并采用所述至少一个会话的安全上下文对所述至少一个会话进行安全保护；其中，所述至少一个会话为从源安全传输路径切换到所述目标安全传输路径的会话，所述源安全传输路径为切换所述终端的安全传输路径之前所述终端的安全传输路径；所述目标安全传输路径为切换所述终端的安全传输路径之后所述终端的安全传输路径。
26. 根据权利要求25所述的装置，其特征在于，所述第一消息包括第一指示信息；所述第一指示信息用于指示源安全传输路径和/或目标安全传输路径，或者，所述第一指示信息用于指示源安全终结点和/或目标安全终结点；其中，所述源安全终结点为所述源安全传输路径的安全终结点；所述目标安全终结点为所述目标安全传输路径的安全终结点，所述源安全终结点和所述目标安全终结点中一个为所述接入网节点，另一个为所述用户面网关；

    在所述第一指示信息用于指示所述源安全传输路径的情况下，所述处理单元，还用于根据所述第一消息中的第一指示信息确定所述源安全传输路径；或者，

    在所述第一指示信息用于指示所述目标安全传输路径的情况下，所述处理单元，还用于根据所述第一消息中的第一指示信息确定所述目标安全传输路径；或者，

    在所述第一指示信息用于指示所述源安全传输路径和所述目标安全传输路径的情况下，所述处理单元，还用于根据所述第一消息中的第一指示信息确定所述源安全传输路径和所述目标安全传输路径；或者，

    在所述第一指示信息用于指示所述源安全终结点的情况下，所述处理单元，还用于根据所述第一消息中的第一指示信息确定所述源安全终结点；或者，

    在所述第一指示信息用于指示所述目标安全终结点的情况下，所述处理单元，还 用于根据所述第一消息中的第一指示信息确定所述目标安全终结点；或者，

    在所述第一指示信息用于指示所述源安全终结点和所述目标安全终结点的情况下，所述处理单元，还用于根据所述第一消息中的第一指示信息确定所述源安全终结点和所述目标安全终结点。
27. 根据权利要求25或26所述的装置，其特征在于，所述第一消息还包括第一会话的标识，所述第一消息具体用于指示切换所述终端的所述第一会话的安全传输路径，所述至少一个会话为所述第一会话。
28. 根据权利要求27所述的装置，其特征在于，所述第一消息还包括所述第一会话的第一业务流的标识，所述第一消息具体用于指示切换所述终端的所述第一会话的所述第一业务流的安全传输路径；

    所述处理单元，具体用于：根据所述第一消息获取所述第一会话的所述第一业务流的安全上下文。
29. 根据权利要求25-28任一项所述的装置，其特征在于，所述切换传输路径的装置为所述接入网节点；

    所述处理单元，还用于根据所述第一消息通过所述通信单元向所述终端发送第二消息，所述第二消息用于指示切换所述终端的安全传输路径。
30. 根据权利要求29所述的装置，其特征在于，在所述第一消息包括所述第一指示信息的情况下，所述第二消息包括所述第一指示信息。
31. 根据权利要求29或30所述的装置，其特征在于，在所述第一消息还包括所述第一会话的标识的情况下，所述第二消息还包括所述第一会话的标识，所述第二消息具体用于指示切换所述终端的所述第一会话的安全传输路径。
32. 根据权利要求29-31任一项所述的装置，其特征在于，在所述第一消息还包括所述第一会话的第一业务流的标识的情况下，所述第二消息还包括所述第一会话的第一业务流的标识，所述第二消息具体用于指示切换所述第一业务流的安全传输路径。
33. 一种切换传输路径的装置，其特征在于，存储器和处理器；

    所述存储器用于存储计算机执行指令，所述处理器执行所述存储器存储的所述计算机执行指令，以使所述切换传输路径的装置实现如权利要求1-4中的任一项所述的方法；或者，实现如权利要求5-8中的任一项所述的方法；或者，实现如权利要求9-16中的任一项所述的方法。
34. 一种计算机可读存储介质，其特征在于，包括指令，当所述指令在计算机上运行时，使得计算机执行如权利要求1-4中的任一项所述的方法；或者，实现如权利要求5-8中的任一项所述的方法；或者，实现如权利要求9-16中的任一项所述的方法。

Images